Nasce l’Agenzia per la cyber sicurezza nazionale: focus sui risvolti in sanità

Nasce l’Agenzia per la cyber sicurezza nazionale: focus sui risvolti in sanità
di Rita Concas, avvocato – Funzionario amministrativo ATS Sardegna e
componente Osservatorio Sanità Digitale Aidr

Il D.L. n. 82 del 14 giugno 2021, recante “Disposizioni urgenti in
materia di cyber sicurezza, definizione dell’architettura nazionale di
cyber sicurezza e istituzione dell’Agenzia per la cyber sicurezza
nazionale” ha istituito, all’art.5, l’Agenzia per la cyber sicurezza
nazionale
(https://www.gazzettaufficiale.it/eli/id/2021/06/14/21G00098/SG).
L’organizzazione e il funzionamento dell’Agenzia saranno definiti da
apposito Regolamento, che dovrà essere adottato entro centoventi
giorni dalla data di entrata in vigore della Legge di conversione del
Decreto, e prevederà l’articolazione della stessa fino a otto uffici
di livello dirigenziale generale e fino a un numero di trenta
articolazioni di livello dirigenziale non generale. Il Decreto prevede
inoltre l’istituzione di eventuali sedi secondarie.
Le funzioni dell’Agenzia sono stabilite dall’art. 7, che, tra l’altro,
prevede che la stessa eserciti le funzioni di Autorità nazionale in
materia di cyber security, sviluppando capacità nazionali di
prevenzione, monitoraggio, analisi e risposta per prevenire e gestire
gli incidenti di sicurezza informatica, nonché gli attacchi
informatici dei sistemi di ICT delle pubbliche amministrazioni, dei
fornitori dei servizi digitali, degli operatori dei servizi essenziali.
L’Agenzia, inoltre, assume tutte le funzioni in materia di cyber
sicurezza già attribuite all’Agenzia per l’Italia digitale dalle
disposizioni vigenti e dovrà curare e promuovere la definizione ed il
mantenimento di un a quadro giuridico nazionale aggiornato e coerente
nel dominio della cyber sicurezza, tenendo in considerazione gli
orientamenti e gli sviluppi in ambito internazionale.
Appare importante anche l’attività di comunicazione e promozione della
consapevolezza in materia di cyber sicurezza e di promozione della
formazione, crescita tecnico-professionale e qualificazione delle
risorse umane, anche attraverso l’assegnazione di borse di studio,
dottorati e assegni di ricerca, sulla base di convenzioni con soggetti
pubblici e privati.
Non v’è dubbio, quindi, che la nuova normativa ha ed avrà estrema
rilevanza anche in ambito sanitario, sia per quanto concerne
l’interesse delle strutture sanitarie alla conservazione, accesso,
modifica e condivisione dei dati, sia dal punto di vista della tutela
dei diritti dei cittadini relativamente ai dati personali sensibili,
quali quelli riguardanti il loro stato di salute, i trattamenti e gli
interventi sanitari ricevuti, custoditi e trattati, appunto, tramite
l’utilizzo di sistemi informativi. I diritti da tutelare, quindi, sono
fondamentalmente due: la salute dei cittadini e la riservatezza dei
loro dati sensibili.
Infatti, paradossalmente, la diffusione del digitale e delle nuove
tecnologie in ambito sanitario ha comportato, da un lato, la
semplificazione, l’efficienza e la positiva evoluzione dei servizi e
dei processi di cura e monitoraggio della salute dei cittadini,
dall’altro una maggiore vulnerabilità dei dati trattati. Sono divenuti
sempre più frequenti, infatti, gli attacchi informatici, che non hanno
risparmiato il settore sanitario neanche durante la pandemia da
Covid-19. A tal proposito sono stati rilevati, tra l’altro, numerosi
attacchi contro organizzazioni sanitarie e laboratori di ricerche
attivi nella ricerca per il contrasto al coronavirus. Lo strumento
offensivo utilizzato è sovente il “ransomware”, un software che si
appropria dei dati delle strutture sanitarie e delle informazioni
personali dei pazienti tenendoli bloccati fino a quando i soggetti che
lo hanno creato non ricevono in pagamento il riscatto richiesto.
Emblematico il caso dell’Irlanda, che venerdì 14 maggio 2021 è stata
allertata riguardo un’infezione da ransomware, ai danni dell’Health
Service Executive (HSE); è stato necessario intervenire con
l’interruzione del funzionamento del sistema informativo per impedire
la propagazione del virus e permettere agli esperti di cyber security
in carica di identificarlo e rimuoverlo. Peraltro, si tratta si tratta
solo dell’ultimo attacco informatico, in ordine temporale, alle
strutture sanitarie, che ormai da anni in tutto il mondo si trovano a
dover gestire l’interruzione di servizi sanitari ai danni dei cittadini.
Se si considera che l’Italia, per ora, è stata esente da attacchi
informatici di tale portata, va detto che la normativa appena emanata
risulta essere non solo appropriata ma soprattutto tempestiva
nell’ambito della prevenzione.
Non resta che attendere l’adozione dei provvedimenti attuativi del
Decreto Legge per capire quali saranno i passaggi prettamente
operativi che le pubbliche amministrazioni e tutti gli enti
interessati dovranno compiere per adempiere al meglio a quanto
stabilito dalla norma.